防火墙——NAT穿越技术理论讲解（IPSec3）

目录

为什么需要NAT穿越技术

NAT穿越报文

如何判断是ISAKMP报文还是ESP报文

NAT穿越协商-四步协商

注意事项

---

什么情况下使用NAT穿越技术

部署IPSec VPN网络时，如果发起者位于一个私网内部，远端位于公网侧，而它希望与远端响应者直接建立一条IPSec隧道。

为保证存在NAT设备的IPSec隧道能够正常建立，这就涉及到IPSec的NAT穿越问题

---

为什么需要NAT穿越技术

从IKE、IPSec协商方面讨论

1. IKE、IPSec协商是通过ISAKMP消息进行传输的，ISAKMP由UDP封装，源目端口都为500（加密报文不会加密IP头和UDP端口号），ISAKMP消息可以进行NAT转换

从IPSec数据传输方面讨论

1. IPSec数据传输是通过安全协议传输的。安全协议AH不论是在传输模式还是隧道模式下，都会认证整个IP包，由于NAT会改变IP头，影响Hash计算，使用AH协议无法进行NAT转换
2. 安全协议ESP在传输模式下进行NAT转换，会修改原始IP，所以ESP传输封装模式无法进行NAT转换。

总结

1. 由以上可知，ESP隧道模式可以进行NAT转换，但是ESP协议会加密TCP头部，不会认证最外层头部。无法进行端口转换。此时就需要NAT穿越技术来解决这个问题
2. 为了解决ESP无法进行端口转换的问题，就通过NAT穿越添加UDP报文头来解决端口转换的问题
3. 综上所述，使用ESP+隧道封装+NAT穿越来解决私网通过NAT和公网建立隧道的问题

---

NAT穿越报文

对于ISAKMP报文（SA协商），报文没有变化，只是IKE第一阶段之后的报文就会将其端口修改为4500

（私网发给公网的目的端口是4500，公网发给私网的源端口4500）

对于ESP报文（加密数据传输），会在ESP头和原始IP头之间加入端口为4500的UDP头部

如何判断是ISAKMP报文还是ESP报文

ISAKMP报文——在UDP头后有一个Non-ESP Marker字段

ESP报文——SPI不为0

---

NAT穿越协商-四步协商

1.在IKE协商第一阶段中（IKEv1为例子），通过IKE的Vender ID进行判断设备是否支持NAT穿越

2.在IKE协商第一阶段中（IKEv1为例子），通过NAT-D负载来判断IPSec对等体之间是否存在NAT设备

（将源目IP、端口进行Hash计算，发送给对端进行对比）

3.在IKE协商第一阶段中（IKEv1为例子），测试UDP4500端口是否可用

4.在IKE协商第二阶段中（IKEv1为例子），协商NAT功能是否启用

---

注意事项

1. NAT穿越设备两端都要配置（内网设备和公网设备）——当内网设备不支持NAT穿越时，在NAT设备上开启ESP NAT就可以
2. 当使用IP地址做标识时，公网设备要指定内网转换后的地址
3. 当做静态NAT，不转换端口时，也要开启NAT穿越，负责IPSec SA起来了，但是流量数据过不去

IPSecNAT穿越实验配置_多谢思考的博客-CSDN博客https://blog.csdn.net/m0_49864110/article/details/124924141?spm=1001.2014.3001.5502